要知道,网站放在公网服务器上,会被各类人访问,其中也包含一些黑客,所以网站是时刻面临着被攻击的风险。
WEB攻击种类也是相当多的,最常见的WEB攻击方式有以下这些:
SQL注入;
XSS、CSRF攻击;
应用漏洞攻击,常见的是上传漏洞、富文本编辑器漏洞;
DDoS攻击等等。
那我们在开发及运营阶段如何规避这些攻击风险呢?结合我多年经验,提供一些方案供大家参考:
1、SQL注入的防御:
对用户输入的数据务必做检查,过滤或转义危险字符,如:单引号、双引号、SQL关键字等;
SQL语句不要用拼接字符串的方式构建,而应该使用SQL预编译的方式来处理参数绑定;
2、XSS、CSRF攻击的防御
不要相信用户任何的输入,对用户输入的数据做过滤或转义,比如过滤掉:JS脚本、CSS样式;
表单Token;
3、应用漏洞防御
严格控制服务器上各目录及文件的写入、执行权限;
需要对上传文件的格式做限定;
一些富文本编辑器自带一些管理后台要删除掉;
对于CMS类程序,一有漏洞公布时第一时间修复;
4、DDoS攻击防御
最经济实用的方法就是使用CDN加速,一来加速资源访问,二来隐藏了源服务器的IP;
碰到大流量DDoS时联系机房做流量清洗,必要时换高防IP。
综上,对于WEB应用而言攻击种类很多,但是现在不少CDN厂商在CDN基础上提供了安全监测功能,它会监测GET请求,对于一些不合法的参数会给过滤掉,这样也就减少了不少攻击。
以上就是我的观点,对于这个问题大家是怎么看待的呢?欢迎在下方评论区交流 ~ 我是科技领域创作者,十年互联网从业经验,欢迎关注我了解更多科技知识!
评论0
加载中...
web攻击其实就是说网站所遭受的攻击,包含ddos攻击 cc攻击 页面篡改 SQL注入 WEBshell漏洞等,如果想完整的做防护,防各种攻击,首先你的先给自己的网站做给体检,检查下网站所存在的漏洞,然后修复它。再去找个云防护产品使用起来。最重要的是云防护产品,如果云防产品给力的话,那就不用担心什么攻击类型了。中小企业建议使用上海云盾的太极抗D PLUS系列,性价比高,售后服务到位,关键是接入后可以放心的该干嘛干嘛去了。不用再操心各种类型的攻击
评论0
加载中...0
回答0
回答0
回答0
回答0
回答0
回答0
回答0
回答4
回答0
回答
